| AADTenantId |
字符串 |
|
| Agent |
dynamic |
登录日志的 agentic 属性。 当类型为 AgenticInstance 时,包括 agentType 和 parentAppId。 |
| AlternateSignInName |
字符串 |
用户登录时提供的标识。 它可能是 userPrincipalName,但当用户使用其他标识符登录时,它也会被填入。 |
| AppDisplayName |
字符串 |
Azure 门户中显示的应用程序名称。 |
| AppId |
字符串 |
Azure Active Directory 中的应用程序标识符。 |
| AppliedConditionalAccessPolicies |
字符串 |
|
| AppliedEventListeners |
dynamic |
登录事件中相应事件触发的侦听器(如 Azure 逻辑应用和 Azure Functions)的详细信息。 |
| AppOwnerTenantId |
字符串 |
Azure Active Directory 中应用程序所有者的租户标识符。 |
| AuthenticationAppDeviceDetails |
字符串 |
使用身份验证应用的最新身份验证步骤中使用的应用和设备状态的详细信息。 |
| AuthenticationAppPolicyEvaluationDetails |
字符串 |
在最新的登录步骤中应用并强制执行与身份验证应用程序相关的策略的详细信息。 |
| AuthenticationContextClassReferences |
字符串 |
包含一组表示应用于登录的条件访问身份验证上下文的值。 |
| AuthenticationDetails |
字符串 |
身份验证尝试的结果以及有关身份验证方法的其他详细信息。 |
| AuthenticationMethodsUsed |
字符串 |
使用的身份验证方法。 可能的值:SMS、Authenticator App、App Verification code、Password、FIDO、PTA 或 PHS。 |
| AuthenticationProcessingDetails |
字符串 |
其他身份验证处理详细信息,如 PTA/PHS 的代理名称或联合身份验证的服务器/场名称。 |
| AuthenticationProtocol |
字符串 |
列出身份验证中使用的协议类型或授权类型。 可能的值包括:none、oAuth2、ropc、wsFederation、saml20、deviceCode。 对于使用所列可能值以外协议的身份验证,协议类型会被列为无。 |
| AuthenticationRequirement |
字符串 |
这是登录成功的所有登录步骤所需的最高级别的身份验证。 |
| AuthenticationRequirementPolicies |
字符串 |
身份验证要求的来源,如条件访问、按用户 MFA、标识保护和安全默认设置。 |
| AutonomousSystemNumber |
字符串 |
参与者使用的网络的自治系统编号 (ASN)。 |
| _BilledSize |
real |
记录大小(字节) |
| Category |
字符串 |
|
| ClientAppUsed |
字符串 |
用于登录活动的旧式客户端。 例如:浏览器、Exchange ActiveSync、新式客户端、IMAP、MAPI、SMTP 或 POP。 |
| ClientCredentialType |
字符串 |
使用的客户端凭据的类型。 示例包括客户端断言、客户端密码等。 |
| ConditionalAccessPolicies |
dynamic |
由相应登录活动触发的条件访问策略列表。 |
| ConditionalAccessStatus |
字符串 |
条件访问策略的触发状态。 可能的值:success、failure 或 notApplied。 |
| CorrelationId |
字符串 |
在启动登录时客户端发送的标识符。 这用于在调用支持时排除相应登录活动的故障。 |
| CreatedDateTime |
日期/时间 |
发起登录的日期和时间。 时间戳类型始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜的 UTC 时间为 2014-01-01T00:00:00Z。 |
| CrossTenantAccessType |
字符串 |
描述参与者用于访问资源的跨租户访问的类型。 |
| DeviceDetail |
dynamic |
发生登录的设备信息。 包括 deviceId、OS 和浏览器等信息。 |
| DurationMs |
long |
|
| FederatedCredentialId |
字符串 |
联合凭据 ID。 |
| FlaggedForReview |
bool |
在登录失败期间,用户可以单击 Azure 门户中的按钮,为租户管理员标记失败事件。 如果用户单击按钮标记失败的登录,则此值为 true。 |
| GlobalSecureAccessIpAddress |
字符串 |
用户从中登录的全局安全 IP 地址。 |
| HomeTenantId |
字符串 |
发起登录的用户的租户标识符。 不适用于托管标识或服务主体登录。 |
| HomeTenantName |
字符串 |
在客户租户中执行操作的实体所属的外部租户的租户名称。 |
| Id |
字符串 |
代表登录活动的标识符。 |
| Identity |
字符串 |
登录时识别的参与者的显示名称。 |
| IncomingTokenType |
字符串 |
用于登录的令牌类型(示例:主刷新令牌、saml 断言)。 |
| IPAddress |
字符串 |
登录时客户端的 IP 地址。 |
| IPAddressFromResourceProvider |
字符串 |
用户访问资源提供程序时使用的 IP 地址,用于确定某些策略是否符合条件访问。 例如,当用户与 Exchange Online 交互时,Exchange 从用户接收到的 IP 地址可能会记录在此。 此值通常为 null。 |
| _IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsInteractive |
bool |
指明用户登录是否为交互式的。 在交互式登录中,用户会向 Azure AD 提供一个身份验证因素。 这些因素包括密码、对 MFA 质询的响应、生物识别因素或用户向 Azure AD 或相关应用程序提供的二维码。 在非交互式登录中,用户不提供身份验证因素。 而是由客户端应用使用令牌或代码代表用户对资源进行身份验证或访问。 非交互式登录通常用于客户端在对用户透明的过程中代表用户登录。 |
| IsRisky |
bool |
|
| IsTenantRestricted |
bool |
指示登录是否符合租户限制策略。 |
| IsThroughGlobalSecureAccess |
bool |
显示用户是否是通过全局安全访问服务而来的。 |
| Level |
字符串 |
|
| Location |
字符串 |
登录所在地由 2 个字母组成的国家/地区代码。 根据所提供的 IP 地址,此值不一定能解析到城市或地区级别的详细信息。 |
| LocationDetails |
dynamic |
提供登录发生地的城市、州、国家/地区和经纬度。 |
| MfaDetail |
dynamic |
此属性已弃用。 |
| NetworkLocationDetails |
字符串 |
网络位置详细信息,包括使用的网络类型及其名称。 |
| OperationName |
字符串 |
|
| OperationVersion |
字符串 |
|
| OriginalRequestId |
字符串 |
身份验证序列中第一个请求的请求标识符。 |
| OriginalTransferMethod |
字符串 |
用于在所有后续请求中启动会话的传输方法。 |
| ProcessingTimeInMilliseconds |
字符串 |
|
| Resource |
字符串 |
|
| ResourceDisplayName |
字符串 |
用户登录的资源的名称。 |
| ResourceGroup |
字符串 |
|
| ResourceId |
字符串 |
用户登录的资源的标识符。 |
| ResourceIdentity |
字符串 |
用户登录的资源。 |
| ResourceOwnerTenantId |
字符串 |
登录中引用的资源的所有者的租户标识符。 |
| ResourceProvider |
字符串 |
|
| ResourceServicePrincipalId |
字符串 |
在登录事件中代表目标资源的服务主体的标识符。 |
| ResourceTenantId |
字符串 |
登录时引用的资源的租户标识符。 |
| ResultDescription |
字符串 |
提供相应登录活动的错误信息或失败原因。 |
| ResultSignature |
字符串 |
|
| ResultType |
字符串 |
提供在登录事件中生成的 5-6 位错误代码。 0 表示成功;其他值表示失败。 可以使用 Azure AD 错误代码文档或 https://login.partner.microsoftonline.cn/error 来查找详细信息。 |
| RiskDetail |
字符串 |
风险用户、登录或风险事件特定状态背后的原因。 可能的值:none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser 或 adminConfirmedSigninCompromised。 值 none 表示到目前为止尚未对用户或登录执行任何操作。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户都被隐藏退回。 |
| RiskEventTypes |
字符串 |
此属性已弃用。 |
| RiskEventTypes_V2 |
字符串 |
与登录相关的风险事件类型的列表。 可能的值:unlikelyTravel、anonymizedIPAddress、maliciousIPAddress、unfamiliarFeatures、malwareInfectedIPAddress、suspiciousIPAddress、leakedCredentials、investigationsThreatIntelligence 或 generic。 |
| RiskLevel |
字符串 |
|
| RiskLevelAggregated |
字符串 |
综合风险水平。 可能的值:none、low、medium、high 或 hidden。 值 hidden 表示用户或登录未启用 Azure AD 标识保护。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户都被隐藏退回。 |
| RiskLevelDuringSignIn |
字符串 |
登录时的风险级别。 可能的值:none、low、medium、high 或 hidden。 值 hidden 表示用户或登录未启用 Azure AD 标识保护。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 所有其他客户都被隐藏退回。 |
| RiskState |
字符串 |
风险用户、登录或风险事件的风险状态。 可能的值:none、confirmedSafe、remediated、dismissed、atRisk 或 confirmedCompromised。 |
| ServicePrincipalId |
字符串 |
用于登录的应用程序标识符。 此字段会在使用应用程序登录时填充。 |
| ServicePrincipalName |
字符串 |
用于登录的应用程序名称。 此字段会在使用应用程序登录时填充。 |
| SessionId |
字符串 |
在登录期间生成的会话的 ID。 |
| SessionLifetimePolicies |
字符串 |
登录事件中应用的任何条件访问会话管理策略。 |
| SignInIdentifier |
字符串 |
用户登录时提供的标识。 它可能是 userPrincipalName,但当用户使用其他标识符登录时,它也会被填入。 |
| SignInIdentifierType |
字符串 |
登录标识符的类型。 可能的值包括:userPrincipalName、phoneNumber、proxyAddress、qrCode、onPremisesUserPrincipalName。 |
| SourceAppClientId |
字符串 |
目标标识的源应用客户端 ID。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| Status |
dynamic |
登录状态。 包括错误代码和错误说明(登录失败时)。 |
| TimeGenerated |
日期/时间 |
|
| TokenIssuerName |
字符串 |
标识提供程序的名称。 例如,sts.microsoft.com。 |
| TokenIssuerType |
字符串 |
身份供应程序的类型。 可能的值包括:AzureAD 或 ADFederationServices、AzureADBackupAuth、ADFederationServicesMFAAdapter、NPSExtension。 |
| TokenProtectionStatusDetails |
dynamic |
令牌保护在令牌与颁发令牌的设备之间创建加密安全绑定。 此字段指示登录令牌是否已绑定到设备。 |
| 类型 |
字符串 |
表的名称 |
| UniqueTokenIdentifier |
字符串 |
唯一的 base64 编码请求标识符,用于跟踪 Azure AD 颁发的令牌在资源提供程序中兑换的情况。 |
| UserAgent |
字符串 |
与登录相关的用户代理信息。 |
| UserDisplayName |
字符串 |
用户的显示名称。 |
| UserId |
字符串 |
用户的标识符。 |
| UserPrincipalName |
字符串 |
用户的 UPN。 |
| UserType |
字符串 |
标识用户是租户的成员还是来宾。 可能的值为:member 和 guest。 |